Tag: GitLab

GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE

GitLab fixed a critical Remote Code Execution (RCE) bug in CE and EE releases

2022/08/23 SecurityAffairs — DevOps プラットフォームの GitLab は、GitLab Community Edition (CE) および Enterprise Edition (EE) に影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-2884 (CVSS 9.9) を修正する、セキュリティ・アップデートをリリースした。攻撃者が認証されている場合には、GitHub の Import API を介して、この脆弱性の悪用が可能となる。

Continue reading “GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE”

GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨

GitLab Issues Security Patch for Critical Account Takeover Vulnerability

2022/06/03 TheHackerNews — GitLab は、同社のサービスに存在する、アカウントを乗っ取りにいたる可能性のある、申告なセキュリティ欠陥に対処するための措置を講じた。この脆弱性 CVE-2022-1680 (CVSS:9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5/14.10〜14.10.4/15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされる。

Continue reading “GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨”

GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?

Critical GitLab vulnerability lets attackers take over accounts

2022/04/01 BleepingComputer — GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処した。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼす。具体的に言うと、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因している。

Continue reading “GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?”

Microsoft が Lapsus$ ハッキングを認める:Bing などのソースコードにアクセス

Microsoft confirms they were hacked by Lapsus$ extortion group

2022/03/22 BleepingComputer — Microsoft は、同社の従業員1名のアカウントが Lapsus$ にハッキングされ、この脅威アクターによる、同社のソースコードの一部へのアクセス/窃取が生じたことを認めた。昨夜、Lapsus$ ランサムウェアは、Microsoft の Azure DevOps サーバーから盗み出した 37GB のソースコードを公開した。このソースコードは、Bing/Cortana/Bing Maps などの、同社の様々なプロジェクトに関わるものである。

Continue reading “Microsoft が Lapsus$ ハッキングを認める:Bing などのソースコードにアクセス”

Linux Polkit の深刻な脆弱性 CVE-2021-4034:PoC エクスプロイトが登場?

Linux system service bug gives root on all major distros, exploit released

2022/01/25 BleepingComputer — Polkit の pkexec コンポーネントには、脆弱性 CVE-2021-4034 が存在し、また、主要な Linux ディストリビューションのデフォルト設定に含まれているという。CVE-2021-4034 は PwnKit と名付けられ、その起源は 12年以上前の pkexec の最初のコミットまで追跡されており、すべての Polkit バージョンが影響を受けることになる。

Continue reading “Linux Polkit の深刻な脆弱性 CVE-2021-4034:PoC エクスプロイトが登場?”

OWASP Top-10 2021 Draft:Web アプリへの脅威をカテゴライズ

OWASP shakes up web app threat categories with release of draft Top 10

2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー/コメント/翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。

Continue reading “OWASP Top-10 2021 Draft:Web アプリへの脅威をカテゴライズ”